第一篇:有线无线网络统一上网行为管理
有线无线网络统一上网行为管理
随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关。这些员工随意使用网络将导致三个问题:
① 工作效率低下。② 网络性能恶化。
③ 网络违法行为。
企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战。
以某一个公司的需求为案例来说,该公司主要需求点为企业无线覆盖以及整体网络实名制上网行为管理。
办公区域的无线覆盖要求办公区域无死角,部署简单,维护容易,扩展方便,同时要求支持多SSID,不同的SSID通过不同的认证策略上网,办公wifi需要员工的账号密码才能登陆,访客wifi 默认为空密码,但需要关注公司微信上网或者通过短信认证上网等。
企业整体网络行为管理需要做到以下几个方面:
流量管理,能够细化控制网络的整体及各个终端的带宽(如设置每个部门或者用户每天或每月所能使用的带宽总额、以及实时带宽速率的控制等); 详细记录网络中各类上网日志,PC、手机、平板等终端利用公司网络外发的邮件信息、聊天内容(针对内部员工,安装客户端才可实现)、登陆的账号信息(QQ、邮箱等账号)、搜索的关键字信息,各种终端访问的网站、发送的言论、流量日志分析等;
审计过滤,能够针对不同的网站及应用进行阻断审计,上班时间屏蔽购物、电影娱乐、网络游戏等网站,防止上班时间浏览非工作性网站,有效提高工作效率,合理利用公司带宽、能够针对敏感关键字的发帖/搜索等进行阻断与告警,有效规避法律法规、支持针对exe、bat、js等各种后缀的文件下载进行过滤,有效防范网页病毒、挂马等。
结合上述的用户需求以及IT系统的现状,鑫塔科技可以为企业IT部门提供一套完整、可视、智能联动的互联网出口安全解决方案。部署拓扑图如下:
互联网出口上网行为管理:部署鑫塔科技XT6000-AC于互联网出口,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽控制策略。 智能联动:此外,互联网出口上网行为管理设备还为无线网络提供portal认证功能,以实现微信认证短信认证等多途径的无线认证。将无线上网终端和用户身份信息进行关联,同时能够针对不同的智能终端进行上网权限划分以及行为日志审计,便于后续的报表分析、威胁定位、合规审计等。
此方案中将采用上网行为管理XT6000-AC+无线AP的模式,1—6—11信道交叠,多SSID无线覆盖方式。一般来说,企业部署WIFI主要目的在于解决企业移动办公问题、方便企业网络扩展、以及树立企业形象,为企业员工以及客户提供更多网络访问的便捷。
鑫塔科技为该客户提供的解决方案之亮点:
1、WLAN安全机制
方案中无线网络将采用802.11I/WAP2的加密方式,多SSID设置,各个SSID直接客户端隔离,同时通过行为管理设备网所有的数据通讯可视化,2、WLAN认证机制
常用的认证方有:WEB认证、账号密码认证、微信认证以及短信认证。实际上,微信已成每个智能手机的标配应用了,由于海量的微信用户存在,微信便成为了一个强大的营销平台。微信营销已成为越来越多企业的网络营销首选。
鑫塔WLAN解决方案,将WiFi资源同微信平台关联,访客必须关注商家的微信公共账号才可以享受“免费”的WiFi网络。
通过鑫塔创新的微信认证方式,可以迅速增加企业微信的粉丝数量,从而,企业可以在大量粉丝的基础上,去做微信营销,建立基于微信公共平台的服务。
访客进入公司无线覆盖范围后,自动接入企业访客无线,被定向到指定提示页面,提示顾客关注企业微信号然后即可获取上网权限,访客关注企业微信号即可上网。这样便大大增加了企业的关注度,也便于广告、业务推送和宣传。
同时对于WLAN的运维,鑫塔WLAN能够实时的显示每个接入点AP的接入人数、实时在线用户名等。
短信认证与微信认证类似,访客接入无线后,将弹出手机认证页面,用户输入手机号码并点击获取到验证码后,输入验证码即可上网。
3、让WLAN变得更快速
由于wifi开放给所有用户,自由的网络环境中包含各种杂乱无章的应用流量无法管控。胜鑫塔上网行为管理内置全国最大的应用识别库和URL库,能自动识别无线流量类型,根据终端类型设置相应的流量控制策略。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障顾客正常的上网体验。
4、有线无线网络统一上网行为管理
部署了鑫塔科技上网行为管理设备,为可以帮助企业IT部门提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,还提升了用户上网的操作体验。
5、专业的流量控制
鑫塔科技上网行为管理系统通过多级父子通道技术,能够完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后,管理员能够给不同通道分配不同带宽。同时,带宽的分配并不是一成不变的。鑫塔科技上网行为管理系统具有动态流控功能,在总体带宽利用率偏低时自动调整策略,有效提升带宽利用率,避免资源浪费。在P2P应用流量控制方面,通过鑫塔科技P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。
6、全面精准的行为审计
鑫塔科技上网行为管理系统不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
第二篇:上网行为管理
1. 上网行为管理
目前市场主流厂商:深信服、网康 典型案例
2.1 提升内网业务操作效率——封堵非业务应用解决方案
方案背景:
日益发达的互联网让企业员工有了更多的选择,网上聊天、网上购物、在线视频、论坛灌水、BT电影……上班时间,员工很难不受众多网络娱乐的诱惑,大家在或多或少地利用工作时间进行非业务操作。
以上行为实实在在地存在于我们的办公网中。事实上,我们很多企业员工打开电脑的第一件事便是开迅雷,下载电影、视频、游戏;也有为数不少的员工痴迷股海,一心扑在大盘上面;而我们的员工在在线视频、在线小游戏、娱乐网站、热门论坛上花费的时间更是惊人。凡此种种,无不给我们有限的带宽资源带来了巨大的流量压力,给员工的办公效率打了一个大大的问号。
上网行为管理解决方案——合理封堵非业务网络应用
随着现代企业管理理念和信息技术水平的提升,如何有效管理与利用互联网资源,这已成为现代企业管理的重要衡量标准。与此同时,上网行为管理的理念愈发深入人心,提升员工网络业务的办公效率,这已经成为企业IT管理者关心的首要问题。、如上图,企业通过以网关、网桥、或旁路模式部署上网行为管理产品,可以有效对内网员工的各种网络应用行为进行管理。上班时间,封掉影响业务效率的非业务应用及相关网站;对挤占公司带宽资源的应用进行流量控制,确保主流的办公应用带宽资源,以提高业务应用的办公效率。
方案价值:
1、全方位封堵p2p,确保正常办公业务带宽
P2P应用给用户带来了前所未有的速度体验与资源共享,但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题,其所带来的负作用日渐凸显。鉴于此,上网行为管理设备通过检测网络软件数据包特征码,可以对常用软件进行彻底封堵,包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件,独有的网络行为智能分析技术使其同样难逃法网。
有些部门和领导因业务需要使用P2P,在全面封堵的同时,上网行为管理设备还可以提供 P2P流控功能,即允许指定用户使用P2P,但对其占用的带宽进行控制。对不同用户,按时间段进行P2P应用封堵、带宽分配与流量控制,上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。
2、选择性内容过滤,方式灵活
除针对网络应用软件外,上网行为管理设备还内置了千万条级的URL库,对URL库按照20个大类进行了划分。基于此,IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽,同时用户可手工输入新分类和新URL地址,这进一步增强了网管人员工作的灵活性。
同时,上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件,可以根据关键字如 avi、rmvb、mpeg进行文件过滤,以保证核心业务的带宽。
3、差异化权限划分,构建和谐组织
对于以上管控,上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限,人性化管控整个企业。如给销售部门足够的网页浏览权限,以方便其网上寻找客户资源,而对后勤人员则封掉P2P应用、游戏与炒股网站等。
2.2上网行为管理+SSL VPN防信息泄露解决方案
背景分析:
据IDC调查报告显示,全球有近80%的企业存在着信息安全与风险问题。在报告所调查的公司中,进行网络常规安全检查的公司不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术进行数据传输。报告显示:信息安全问题大都来自于企业内部,信息泄密很多时候源于信息安全管理不善。在中国,众多的事业单位也面临这些问题。
事实上,很多企事业单位内外网、服务器隔离存在问题,业务系统的操作并没有明确授权人员,这导致一些非授权人员大肆访问并修改内网服务器的重要数据;很多单位员工信息安全意识也较薄弱,很多时候将客户信息、内部敏感信息等在公网上随便传播,并没有加密,这样的信息数据很容易被窃取修改。
现在,客户对企业、民众对事件单位应用服务的访问量在不断增加,客户的访问请求经常集中在数台服务器上,而其它服务器却因访问量低而低效运行,这不仅影响了用户的体验感受,也严重影响着该应用服务访问稳定性。为将大量的访问最快的处理并提高服务器的运行效率,保证信息发布不被中断,以此来保证信息传播的安全,这点也为越来越多的有识之士关注。
解决方案:
通过上网行为管理产品来防止企事业单位内网泄密,这样可有效解决单位内部泄密的问题;通过SSL VPN,企事业单位可对外部接入人员进行身份认证,并对这些接入人员进行精确的权限分配来保证合法的访问与系统修改,这也可以有效隔离内网里的应用服务器与内外网。
产品部署拓扑图如下:
如上部署,上网行为管理设备以网桥模式透明部署于企事业单位内网,通过识别敏感信息并进行过滤等手段,全方位保护客户的信息资产和信息安全。
SSL VPN产品以旁路模式部署,企事业单位通过SSL VPN为不同级别的访问者分配不同的访问权限,并对其进行严格的身份认证,这样有效管理了外部员工、客户对内网应用系统服务的访问安全。
方案价值:
上述整合的解决方案,将使企事业单位解决面临的信息安全风险,使得组织业务系统获得持久的可靠和稳定。
上网行为管理产品将帮助企事业单位防范企事业单位的信息资产泄密,这将有助于降低组织机构的信息安全风险,这让企业、事业单位专注信息资产管理,让部门沟通、客户沟通等多方面沟通更有效。
SSL VPN将帮助组织强化信息数据访问安全。对内网重要区域信息数据的访问控制,能从源头上有效保护信息资产安全,SSL VPN提供从访问终端安全——接入认证安全——数据传输安全——访问权限安全等一体化的安全。
2.3校园网上网行为管理+SSL VPN综合解决方案
校园网现状:
校园网网络规模庞大,相应的网络应用流量非常惊人;学生网络应用比较活跃,规范管理非常头疼。具体而言,校园网建设中存在如下问题:
1、流量问题
因为学生BT下载、在线视频、迅雷应用等P2P行为十分活跃,校园网带宽出口经常被堵塞,师生正常的网络应用经常被挤占。
2、网上言论
目前高校学生网络应用活跃,校内BBS言论、公网上知名论坛等经常语出惊人之举,时常给学校带来世俗、法律上的诸多困扰。由于目前网络言论实行匿名式注册,出现问题后很难查询当事人,最后给学校带来了极大的负面影响。
3、网络应用规范问题
不可否认,目前大学在校生所面对的网络信息、资源较前些年丰富了很多,这其中也有一些色情、反动等类型的网站及其应用,如何从校园网建设上规避这些不良网站、应用的影响,将制度的规范强制执行在日常网络应用中,这对管理者是个不小的挑战。
4、校内资源使用问题
学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。目前校园的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无力利用了。如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。
最重要的是,当校园网初步建成之后,如何查询师生校园网应用情况(如学生经常应用什么网络软件,在网上做什么事情),以此来发现网络应用问题及校园网建设中存在的不足,这对学校的网络管理者尤为重要,他们需要一种能对网络建设与管理决策提出良好反馈机制的解决方案。
部署拓扑图:
上网行为管理+SSL VPN综合解决方案:
为此,选择上网行为管理+SSL VPN远程登录解决方案。将学校内网安全管理单纯地由对外防御病毒、黑客入侵、垃圾邮件,转向了内外兼备的全面管控,如访问控制、访问跟踪、流量限制、监控、审计等。配合SSL VPN远程登录访问内网,让从公网访问校园网内资源成为可能。
1、网络行为审计
将上网行为管理设备部署在学院网络出口的防火墙后侧,以网桥模式部署,实现三进三出(WAN 口接三台设备,LAN口接三台交换机),保证所有流经学院网络出口的流量都会经过上网行为管理设备的管控和记录,让学院所有上网行为记录有据可查,事实上学院IT管理者甚至可以预先设置好敏感关键字,提前过滤网上敏感言论。
2、全面流量控制
对流经学院网络出口处的所有流量,上网行为管理设备全面进行流量控制。事实上,该设备对学院所有的师生根据院系、专业进行带宽分配,即将用户分划分成组,然后对于不同的组分配不同的带宽、流量上传下载的限定。通过上网行为管理设备,学院IT管理部门甚至可以根据相关师生的网络应用行为、访问网站类型、上传下载文件类型进行流量控制。如学生正常应用时放开流量,一旦进行BT下载,则马上施以流量控制。
3、提高师生网络应用效率
虽然学生网络应用非常活跃,但他们很多的网络应用行为与学业、功课并没有多大关系,有些学生甚至到学校机房上机时仍然玩网络游戏、网上冲浪。针对这些现象,学院IT管理部门绑定学院公用计算机,让学生上机上课时,完全封堵住在线游戏、在线视频、娱乐网站等,从网络管理上强制执行上课学习的课堂原则。
4、提供网络决策咨询
学院内网用户的非授权网络行为被禁止,学校管理者可以对学校网络运行情况进行统计、分析、评估,做到细致的访问控制,有效管理用户上网行为。除了实现强大流量分析及带宽划分与分配外,同时各种网络行为日志也都将得到全面记录,方便日后查询。
5、SSL VPN远程登录校园内网
将SSL VPN 采用单臂模式部署,接在学院核心三层交换机下,在不改变原网络结构的情况下,师生可以在任何能上网的地方安全高效地登录学校内网的OA系统、图书馆资源等,实现办公效率的快速提升。
2.4银行业上网行为管理解决方案
项目背景:
目前银行的多项业务均需依赖互联网平台,银行信息化建设一直引领着各行业信息化建设的潮头。虽然金融单位已经部署了多种网络安全产品来抵御来自互联网的攻击,但在内网安全、规范管理、信息安全上存在许多薄弱环节。试想:如果银行职员上班时间BT下载、在线观看视频、访问赌博网站等,这些行为通过部署于网关出口的防火墙就能得到控制吗?银行内网一旦缺乏有效的管理手段必然会增加各项业务操作的风险,而且会严重影响工作效率。
存在问题:
随着银行业务的不断丰富,银行的各项业务运作越来越多依赖于网络平台,为了达到银行信息安全的要求,提高银行的竞争力,需要构建管理规范、流量平稳、防止泄密的安全无忧内网。目前银行内网管理存在以下问题:
1、银行职员上班时观看在线视频、进行BT下载等行为,对网络出口带宽造成了不小的压力,银行的正常业务运用可能因为这些非工作性网络应用造成中断;
2、银行业务操作人员利用资金流相对便利,如何有效封堵加密的赌博网站、相关网络应用,是银行迫切需要解决的问题。
解决方案:
针对上述问题,银行选择上网行为管理解决方案,希望通过对内网用户进行明确的权限分配,规范银行员工上班时网络应用;通过彻底的带宽、流量控制,保障银行业务系统带宽,并进一步提高银行员工的网络应用效率。
功能及解决的问题:
1、内网用户上网权限的细致划分
针对银行不同的部门,细致规定其部门员工的上网权限,让合适的人上合适的网站,进行合适的网络应用,超过该部门工作权限的网络行为一律禁止。
上网行为管理设备针对银行各部门进行用户组划分,如信用卡中心、财务部……然后对基于人员划分的用户组赋予不同的上网权限,如:封掉信用卡中心炒股、加密交易网站应用……上网行为管理设备甚至可以针对具体的用户进行上网权限分配。上网行为管理产品细致的权限分配,大大降低了网络管理者的维护量,合理地规划出局域网的组织结构。
2、全面流量控制
事实上,一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,几乎所有人的正常网络浏览都将成为不可完成的任务。银行带宽出口虽然相对较大,但因为其网络应用众多,出口带宽也面临不小的压力。
上网行为管理设备可进行BT、加密BT、未知版本BT的全面封堵,而且不会像防火墙那样被BT软件通过转换端口绕过去;通过基于人员、应用、访问网站类型等进行带宽分配、流量控制,银行IT人员可以提前规划好各部门网络应用流量,充分保障银行正常业务运作。
3、详细的日志备份
银行内网用户每天访问互联网时产生的日志十分巨大,亟需一个更大容量的数据备份机制,而传统网关所能提供的硬盘存储容量有限,且这些数据查询颇为麻烦。
银行关注日志信息的完整性和保密性,通过上网行为管理设备独立的日志存储中心,确保了银行内网网络应用日志的完整性与保密性。通过使用上网行为管理设备,银行的管理者可以通过直观的、图象化的方式了解网络带宽的利用情况以及内网用户的网络访问状态,将网络使用情况自动生成报表并统计出网络访问的趋势,以帮助系统管理员更好地维护和管理网络。
2.5电力行业上网行为管理解决方案
项目背景:
随着中国经济的进一步发展,整个经济对能源的需求越来越强烈,工业发展、居民生活的用电需求更是不断增高。而随着国家产业升级、能源结构的调整,绿色电力的概念也逐步深入人心。正是基于这一背景,整个电力行业迎来了发展的黄金时期。
目前电力行业内网存在非业务流量挤占带宽、机密信息存在泄密风险等问题,新的形势要求电力行业构建规范管控、流量平稳、信息安全的内网,具体要求如下:
1.对公司内部员工进行流量控制,限制员工P2P下载,保证网络流量;
2.针对公司员工的上网行为轨迹进行记录,并支持报表分析;
3.对内部聊天软件进行控制,保证员工上班时间的工作效率;
4.对现有网络拓扑状况不进行改动,保证现有网络的稳定性;
解决方案:
采用网桥模式部署深信服上网行为管理设备,即部署在防火墙和核心交换机之间。这样就不需改变电厂原有的网络拓扑及设置,同时也可管控电厂内网的网络行为;同时也可以采用旁路模式部署,这种模式主要用于内网用户上网行为日志存储。
部署拓扑如下:
解决的问题:
1、网络应用封堵,提升办公效率
通过电厂网络出口的上网行为管理设备,通过IP/MAC、硬件特征码绑定等技术,对用户进行唯一身份识别;之后将用户根据业务部门、组织架构进行用户组划分及权限分配;对员工上班时的非业务网络应用——如在线视频、在线游戏、在线炒股、聊天等进行分时间段、分用户组管控,人性化封堵,提升办公效率。
2、流量控制,优化网络带宽
电厂作为传统企业,其网络出口带宽有限,而相应的电力调度系统、OA办公等网络业务系统又较为完备,这必然带来了网络业务运用与网络带宽不足间的矛盾,而且时常有用户进行BT下载等娱乐行为而挤占正常应用带宽。
针对于此,电厂通过上网行为管理设备对相应用户组进行带宽分配与流量控制,流量控制基于业务应用类型、用户组织权限等各种因素,细致全面地构建平稳流量内网。
3、行为日志记录与统计,保证信息安全
电厂通过上网行为管理设备进行用户流量统计、网络应用记录、访问网站轨迹等诸多信息安全管理行为。
4、宏观网络应用分析,指导IT管控方向
电厂可根据上网行为管理设备记录日志生成曲线、饼状、柱状、趋势图等,并可对相关网络应用、流量等进行排名。用户可根据自己所需信息生成宏观分析图表,如:内网哪个用户流量最大、哪些网络应用生成流量最大、哪些网站访问最多……这样电厂IT管理者便能根据日志分析图表调整上网行为管理选项,为内网管控、进一步建设进行决策。
通过上网行为管理解决方案,增强了网络管控性,提高了电厂的竞争力。
第三篇:上网行为管理
上网行为管理的定义
帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析;
为什么要管理上网行为
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。”----蒂姆•伯纳斯•李(互联网之父)
水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
问题1:网速为什么越来越慢?
在办公室里经常会听到有人抱怨“网速为什么这么慢?”,几乎所有的企业都存在这样的问题。那么企业花钱租用的10M甚至100M带宽都被用在哪里了?为什么带宽不断扩充,而网速并没有明显改善?
真相:带宽资源也许正被滥用!
根据联通公司发布的一份调查显示:以迅雷、BT、eDonkey、KaZaA等为代表的P2P应用,消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里,充斥着大量P2P下载、网络电视等应用流量,导致大量带宽被非工作应用所占用。而且,由于P2P的应用特征,使得企业高额投资的带宽成了互联网公共服务。
谁?在什么时间?可以拥有多少带宽资源?可以使用哪些网络应用?
问题2:网络安全事故为什么防不胜防?
“堵漏洞、砌高墙、防外攻、防内贼,防不胜防”,防火墙越“砌”越“高”,入侵检测越做越复杂,病毒库越来越庞大,身份系统层层设保,却依然无法应对层出不穷网络安全威胁,难道那么多安全产品都是摆设?
真相:安全隐患来自内部员工!
无论如何豪华的防线,一个漏洞就可以毁灭所有一切。Meta Group发布研究报告称:“持续增长的安全威胁源自您的员工”。内部人员通过互联网与外部通讯时,可能会引入含有恶意的或者攻击性的内容,如若未能得到监测和控制,这将成为企业的一大隐患。并且充满诱惑的网络资源往往是风险的发源地。
谁?在什么时间?是否可以上网?是否阻止访问可能含有安全风险的网络内容?
问题3:办公室为成了免费网吧!
据一项调查显示,普通企业员工每天的互联网访问活中40%与工作无关,对色情等非法网站的访问量70%都发生在工作时间。上班时间“上网休闲”已经成为普遍现象,聊天、游戏、炒股、购物、BBS、电影、博客等无时无刻不在抢占正常的工作时间,办公室因此沦为不需要花钱的“网吧”。
谁?在什么时间?可以用什么应用?不可以访问什么网站?
约束员工在互联网上的行为,其实是在帮助员工匡正工作行为,丢弃不好的习惯,成为一个专业、敬业的职业人,这对员工自身的职业发展也是大有裨益的。
问题4:企业要为员工的网络行为背黑锅吗?
目前,大部分企业内部员工上网并不受限制,但是他们在网上做了什么?对外发了什么信息?企业完全不知情,也无记录可查询,这就给企业埋下了巨大的法律风险。
某企业被当地公安局网络监察处执行严厉处罚,原因是查出该企业内有员工在网上发布了违反法律的信息,但是无法查出是哪位员工所为,最后企业只得为这名“幕后英雄”背黑锅。那么在这种情况下,企业必须为员工的个人网络行为负责吗?
谁?在什么时间?以何种方式?对外发了什么信息?发给了谁?
问题5:发现内部网络问题后不能快速的找到根源?
当出口拥塞,网络访问异常时,只能通过网络层面的的设备分析原因,简单的插拔网线,复位设备,以希图问题解决。但本质,内在的源头无法定位。
IT系统追求的的是性价比,一位的迁就会隐藏更大的隐患,我们需要专业的洞悉网络问题应用源头的能力,能够分析问题的普遍性,严重性,共通性。利用上网行为管理产品能够做到:
哪些人群的应用异常?哪些行为在单位内最普遍?哪些部门隐患最突出? 编辑本段上网行为管理的实施步骤
洞悉->管控->驾驭
step1:企业要做好上网行为管理,必须先洞悉企业内使用互联网的过程中存在哪些问题?因为不同企业面临的问题不同,需要先了解到底有哪些问题?
step2:然后分析问题的根源,再制定有针对性的策略管控问题;上网行为管理策略必须是有针对性的、个性化的,这样才能符合不同企业本身的管理制度、企业文化等的要求和需求;
step3:最后通过审计报表了解问题解决的程度和效果,再根据报表做管理策略优化,进而达到驾驭互联网、实现上网行为管理的价值。
上网行为管理产品对比
硬件与软件之分
从产品形态来看,目前上网行为管理分为硬件和软件2种,但是国内以硬件为主流,国外以软件为主流;
硬件的优势:部署简单、升级方便、故障率低
硬件的劣势:成本较高,运输不方便,维护复杂,维修需要专业认识,技术支持不到位
软件的优势:成本适当,维护简单、安装容易、升级快速,可以在公司随便找个机器部署.软件的劣势:对于国企和政府来说,没有一个东西不放心,所以国内政府偏硬件,企业偏软件。
以上对比,并不是绝对的说法。目前的软硬件结合模式越来越多。包括加入准入模式、VPN的上网行为管理,基于客户端的内网管理模式和文档管理模式,为的是内外兼修,从各种方向去弥补单一产品的不足。企业应该根据自身的应用需求,去选择自己需要而合理的方案。如果只是追求单一产品本身的应用,在信息化建设的综合成本上一定会超出很多预算,无谓地增加了更多的信息化成本。
产品适用范围之分
市面上目前能够提供全面或部分上网行为管理功能的产品,已经有几十种。如果以产品适用范围来区分,通常分为这样3类。
1,适合同时上网PC数量低于50台。
这类产品一般以纯软件型和低端宽带路由器集成QQ、MSN、BT等的过滤为主。纯软件型产品通常成本低廉、稳定性较差,适合对上网行为管理有需求,但预算有限的用户。低端宽带路由器集成针对部分常见应用或软件的过滤功能,同样以价格低廉胜出。在提供基本组网应用的同时,兼顾最基础的上网行为管理需求,较容易被价格敏感的用户接受。
2,适合同时上网PC数量在50~200台之间。
这类产品一般以高性能上网行为管理设备和带自主研发Kercap引擎的软件产品为主。即在高性能网关路由器上,增加深度包检测(DPI)功能。通过分析网络应用特征码,配合智能带宽管理、自动行为管控等综合策略,全面管理聊天、在线视频、股票、游戏、P2P下载、暴力及色情等非法网站等的过滤,并配合WAN口流量统计、LAN侧用户流量统计、并发session统计等功能,提供综合的管理手段。通常价格较软件产品或低端路由器略高,但功能更全面,性能更稳定,性价比较能够为此等规模的企业用户所接受。
3,适合200台以上的PC同时上网的管理。
这类产品通常是采用硬件与软件结合的方式。即同样的软件版本,安装在不同档次的工业计算机上,经过反复的测试后,根据所安装的工业计算机的处理性能不同,可以涵盖到200~500,500~1000,甚至更大范围的并发应用。由于有性能更为强大的工业计算机作为处理平台,这类产品能够提供的功能更加丰富,部分产品甚至可以缓存上网浏览或发送的内容,检索出可能涉及泄露公司机密、触犯法律或不适合上班时间处理的内容,进而采取相应的策略加以限制。对于规模较大的公司,IT管理对技术的依赖更加侧重,需要管理的内容和管理的手段更加广泛,以适应大批量管理的需要。此类产品由于其复杂的功能需要高性能的工业计算机才能够支撑,因此起步价格通常因硬件成本的因素,只有规模和需求达到一定程度的中大型企业可以接受。
目前也有部分此类厂家推出了适合中小规模用户的产品,功能上没有太大的差异,只是选择更为低廉的工业计算机进行处理,从而降低了整体成本和适用范围,以满足中小规模用户的需求。价格也相应的降到万元以下。
产品定价
根据软件硬件产品、产品工业等级、产品硬件内核模组、产品管理规模、产品适用范围的区分,产品定价的幅度也有极大的变化。
如低端产品线:价格从数百元至数千元不等。即便是软件产品。也有高达十万元的价位。而高端产品线,从主流厂商报价来看,从几万到几十万的价格不等。若是在高校、骨干线路的应用方案中,为了满足需求,采用双核、四核、G级的硬件模组的设备其价位更高。
旁路与串接之分
从部署的方式来看,主要分为旁路与串接之分,这主要看用户对上网行为的管理程度来决定。
旁路:不容易造成单点故障,但是控制和管理的效果不理想;
串接:控制和管理的效果好,但是容易造成单点故障;
目前国内主流的厂商提供的产品都比较稳定,单点故障率较小,建议用户在条件允许的情况下采用串接方式部署
对于以备份(邮件,聊天,网页审计)为主的建议采用旁路方式的软件。
国外与国内
一直以来,很多用户都认为国外的产品和技术要优于国内厂商,但是上网行为管理产品并不如此。
上网行为管理产品是用来管理互联网访问内容和互联网使用者的,这与企业的文化、管理制度、人文环境、法律法规都非常相关,例如:
国外与中国在成人内容上的分级不同,导致对成人内容的过滤结果不同;
国外与中国的流行网络应用不同,有很多是只有中国用户使用的网络应用,而国外的产品往往不能支持对这些应用的控制和管理;
建议国内用户尽量选择使用国内厂商推出的上网行为管理产品,毕竟中国的厂商更了解中国用户的互联网环境和互联网使用习惯。
编辑本段上网行为管理主要功能
网页访问过滤
互联网上的网页资源非常丰富,如果员工长时间访问如色情、赌博、病毒等具有高度安全风险的网页,以及购物、招聘、财经等与工作无关的网页,将极大的降低生产效率。
通过上网行为管理产品,用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制
聊天、看电影、玩游戏、炒股票等等,互联网上的应用可谓五花八门,如果员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。
通过上网行为管理产品,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事
带宽流量管理
P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源,除了增加预算扩充带宽以外,企业还可以选择合理化分配和管理带宽。
通过上网行为管理产品,用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计
发邮件、泡BBS、写Blog、聊IM已经司空见惯,然而信息的机密性、健康性、政治性等问题也随之而来。
通过上网行为管理产品,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析
随着互联网上的活动愈演愈烈,实时掌握员工互联网使用状况可以避免很多隐藏的风险。
通过上网行为管理产品,用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
第四篇:上网行为管理解决方案
上网行为管理解决方案
泉州市东达网络科技有限公司
2014-09-22
目录
第1章 第2章 第3章
3.1 3.2 应用背景......................................................................................................1 问题分析......................................................................................................1 带宽使用情况探知......................................................................................1 用户识别......................................................................................................2 应用识别......................................................................................................2 3.2.1 3.2.2
第4章
4.1 4.2 URL访问行为...................................................................................2 互联网应用类型访问控制................................................................2
规范网络使用行为,提高工作效率..........................................................3 灵活的用户识别和认证方式......................................................................3 细致全面的应用流量识别技术..................................................................4 4.2.1 4.2.2 4.2.3 URL识别...........................................................................................4 国内最大的应用协议库....................................................................4 P2P智能识别....................................................................................5
4.3 灵活的网络控制策略..................................................................................6 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 URL的访问的合理分配...................................................................6 基于网站类型,文件类型的流量管理............................................6 IM聊天软件灵活管控......................................................................6 炒股软件、游戏软件的封堵............................................................6 P2P流媒体和P2P下载的管控........................................................6
i
第1章
应用背景
互联网在中国的普及已经超过20多年,尤其是最近几年得到了飞速的发展,网络改变了我们的工作和生活方式,尤其是对工作带来了极大的便利,而组织内网员工使用IM聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣;然而随着网络应用的越来越丰富,尤其是诸如P2P等流量吞噬十分厉害的下载技术的出现使得原本飞快的网络变的越来越慢,多数企业发现他们花高代价增加的带宽很快又不能满足业务的需要,另一方面,员工职业化程度不够高的组织内部会存在大量的用户上班时间用来炒股、聊天、看电影、打游戏等活动,极大的降低了工作效率,组织机构花费极大的代价的网络被滥用,1个500人人均工资2000的中型机构,如果他的员工每天浪费0.5个小时在业务无关应用上面一年下来的损失高达150万元;而多数企业员工进行业务无关网络应用的时间远远超过0.5小时,每年损失的人力成本已经几乎超过网络带来的便利,领导者陷入了两难的困境,亟需对网络使用进行合理的管控。
第2章
问题分析
面对上述问题,以下几个问题是需要迫切需要解决的
1.内网到底发生了什么?需要一种行之有效的方法探知每个人每天上网行为的明细情况;2.什么应用抢占了带宽,导致了核心业务应用的速度慢,员工上班时间主要有哪些工作无关的应用需要进行管控;3.面对混乱的内网环境,如何建立起合理的有效的使用规范?保证网络使用主要是用来创造效益。
第3章
带宽使用情况探知
面对上述情况,我们首先需要的就是探知内网用户的流量使用情况,要探知内网用户的流量使用情况,以下几个步骤需要解决:
1.用户识别
2.应用识别
3.图形图表分析网络使用状况
3.1 用户识别
大型组织的上网用户众多,互联网应用纷繁复杂,加上长期以来形成上网无需认证,允许使用迅雷,在线影音娱乐不禁止等上网习惯,使得网络流量、行为情况变得异常复杂。
需要通过基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,对于不同的员工、部门实现分开管理,只有在很好的对人员进行区分以后,才能在上网行为的管理上责任到个人,使组织形成良好的上网行为氛围,营造高效和谐的办公自动化平台。
3.2 应用识别
3.2.1 URL访问行为
面对海量的URL地址,需要识别用户上班时间主要访问哪些网址,哪些是业务相关网站,哪些是业务无关网站。
3.2.2 互联网应用类型访问控制
上网行为管理设备对互联网的应用访问控制主要包括以下几个方面:
通过内置了的应用协议规则,对于诸如IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类基于应用协议特征码的识别,而不是基于传统IP、端口识别。
随着网络技术的发展,网络上的P2P行为层出不穷,如果只能对一些已知的P2P行为,比如BT、eMule、QQLive等进行识别控制,显然是不够的。还需要能根据P2P协议特征的智能分析技术有效识别未知的、新的P2P行为。还需要能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。
第4章 规范网络使用行为,提高工作效率
通过上述的行为探知并分析并得知我们内网目前到底存在哪些问题?那么我们如何来解决这些问题,任何的上网行为和控制策略都必须要基于用户或是用户组来施行,只有很好的对人员进行认证和区分才能很好的保障流量管理的成功实施,另一方面,我们需要对应用进行细致全面的识别,只有合理的识别应用类型,进行细致的归类和区分,才能保障我们的上网行为管理的效果对人员和应用有了细致识别的区分以后就需要针对用户/用户组、时间段、应用类型、文件类型等进行细致的流量管理了。
SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个和谐高效的网络使用环境,保障用户工作相关应用得到有效的保障。
4.1 灵活的用户识别和认证方式
网络流量的产生来源于用户,因此,有效流量的管理的前提是必须先对用户进行有效识别和管理。SANGFOR AC设备提供了强大的用户管理系统,提供了多样化的用户管理手段实现了基于用户的流量管理,在动态IP环境下保证用户身份与管理策略的有效结合,真正的做到了使内网的流量管理责任到人。
功能优势:
丰富多样的用户精确识别方式; 快速、有效的为用户分配网络接入权限; 与第三方用户管理服务器的完美联动; 未知用户网络接入权限快速归类; 最终实现基于用户名的流量管理;
4.2 细致全面的应用流量识别技术
4.2.1 URL识别
SANGFOR AC上网行为管理设备内置千万级的URL库,提供了近40种内置的更加细粒度的URL分类:新闻类、娱乐类、体育类、色情类、暴力类、反动类、迷信类、宗教类、股票类等等。
SANGFOR AC的URL库支持用户手工添加,并支持创建新分类;用户可以根据自己的具体需求,添加有具有个性管理的URL地址并分类,进行需求的控制。
SANGFOR AC具有智能学习的功能,能够根据关键字和类似网页进行网页的分析和学习,自动更新用户自定义分类。
4.2.2 国内最大的应用协议库
SANGFOR AC内置了24大类、500余条的应用协议规则,例如:IM聊天类、下载工具类、P2P流媒体类、网络游戏类、炒股类等等。基于应用协议特征码的识别,有别于传统IP、端口识别。
每一个分类下面有包含着众多的应用协议规则,比如IM聊天类,包含的应用协议规则有:QQ、MSN、Skype、Yahoo通、阿里旺旺、新浪UC等等。也能识别UUCALL、雅虎通等语音视频聊天工具。
具有多个智能识别规则,能识别诸如自由门,无界浏览器等代理软件,识别SKYPE,识别RTP语音视频信息。
支持域名的智能识别。可以根据目标域名的弱特征,流特征等来识别内网用户与目标域名的会话连接,从而更智能的进行控制。
SANGFOR AC的应用协议库支持用户手工添加,完成个性化需求配置、识别、控制。
4.2.3 P2P智能识别
随着网络技术的发展,网络上的P2P行为层出不穷,如果只能对一些已知的P2P行为,比如BT、eMule、QQLive等进行识别控制,显然是不够的。
SANGFOR AC除了能够识别已知的P2P行为之外,还能根据SANGFOR AC的基于统计学的智能分析技术有效识别未知的、新的P2P行为。同时SANGFOR AC还能够对加密BT、加密P2P行为进行准确识别与控制。做到对P2P行为的全面监控。
4.3 灵活的网络控制策略
4.3.1 URL的访问的合理分配
组织内部根据部门职能的不同于业务相关的网站类型也不一样,诸如财务部主要关注财经类网站,而市场人员主要工作相关网络主要是行业相关网站,相关的市场机会网站,SANGFOR AC可以基于不同的用户群体划分不同网页内别的访问规则。
支持根据业务需要定义URL类别,通过SANGFOR AC独有的智能识别技术,对客户定义类别的网站进行智能学习和分类。
有效的封堵在线流媒体的使用,如新浪视频网站等。
4.3.2 基于网站类型,文件类型的流量管理
基于网站类型的流量管理,可以针对诸如人力资源部保障招聘类网站的访问速度不少于40KBPS,基于文件类型的流控:例如对内网下载电影文件进行带宽限制,限制公司整体群组下载电影类文件的带宽不高于2Mbps。
4.3.3 IM聊天软件灵活管控
能够完整识别各类IM聊天软件,可以实现灵活的控制策略,对于市场人员可以允许使用部分业务相关的即时聊天工具,而对于其他人员主要通过邮件交流或是开放部分不通用的聊天软件来进行内部的沟通。
4.3.4 炒股软件、游戏软件的封堵
除了公司高层领导需要关注股价以外,组织内部其他人员对于炒股软件的使用严重影响了工作效率,SANGFOR AC全面的识别各类炒股软件,在线炒股的网址,进行全面的封堵,有效提高工作效率。
SANGFOR AC目前已经能识别包括魔兽世界,CS,泡泡堂等在内70多款的在线游戏,进行完全封堵保障内网工作效率。
4.3.5 P2P流媒体和P2P下载的管控
P2P流媒体不但影响工作效率,而且对带宽的过度占用导致了业务应用的缓慢,6
SANGFOR AC能智能识别P2P流量,对于不常见的或是新出现的P2P类应用软件也可以根据其流量特征进行有效的识别,从而细致精准保证网络带宽的合理使用,禁止P2P的行为既保证了员工上班时间工作效率,也保障了核心应用的带宽。
第五篇:路由器上网行为管理
上网行为管理的应用价值
除了迟到、旷工,上网行为也要纳入到行政管理了,这是目前一些企业的网络应用需求。为此,越来越多的组网设备开始提供上网行为管理的功能。
上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。这些问题其实是一个职业素质的基本问题,但企业管理者由于各种原因,对此经常无可奈何。路由器上网行为管理正是迎合了这个需要,以电子化手段进行铁面无私的管理,行政措施得以有效的贯彻。
但是,上网行为管理功能的产品出现的时间不长,很多用户在应用中有一定的误区,产品选购上也无所适从。本文旨在上网行为管理功能的应用价值、技术实现、产品选择等方面做一个粗略的探讨。
一、上网行为管理的应用价值
首先应该明确的是,上网行为管理产品不是组网安全设备,而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具,是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用,从这一点上来说上网行为管理的应用对企业是有益的。诚然,精心部署上网行为管理,对企业网络的稳定性、可靠性有一定的帮助,但这是非常不够的。网络的稳定可靠不能仅仅依靠上网行为管理来实现,而主要还是要依靠专业的网络安全设备和方案。可是目前,在一些用户心中,依然对上网行为管理产品的作用存在一些模糊不清的认识:
误区一:上网行为管理能让网络不掉线 网络掉线是整个网络架构不健全的反应,是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题,客观上对网络净化起到一些作用,但绝不是根本的手段。网络问题要从网络结构本身加以解决,解决网络掉线、卡滞等问题,应该使用类似欣向免疫墙之类的专业方案,那才是从根源着手的有效办法。误区二:上网行为管理能防病毒侵害
网络病毒的传播防不胜防,挂马成为了庞大产业。所以,靠上网行为的约束,期望杜绝病毒的侵入,在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段,在网络层面,要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等,在单机层面,要安装杀毒软件、定期升级操作系统补丁等措施。所以,尽管上网行为管理对防范病毒侵害很重要,但也只能是一个辅助措施。
误区三:上网行为管理能控制网速
封QQ、封P2P、封视频,通过限制大容量的下载保证带宽的合理使用,这些都是权宜之计,不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题,因为网络上的内容太丰富了,抢占带宽的流量无法一一识别并限制。在网络管理的技术方面,对带宽的管理是通过QoS实现的,而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供,有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的欣向智能带宽算法等等。这些都是从专业角度进行的,对控制网速根本有效的办法。
因此,综上所述,上网行为管理功能解决不了网络的稳定性、可靠性问题,对网络本身的管理也不是根本的办法。应用上网行为管理后,企业的网络状况会有一定好转,但恐怕只是暂时的。上网行为管理最大的效用就是在行政管理上,它通过提高员工的工作效率为企业创造价值,这才是上网行为管理路由器得到欢迎的主要原因。
二、上网行为管理的技术实现
上网行为管理的技术实现大概分为几个部分:IP分组管理、特定应用封锁、行为审计、行为记录等。IP分组管理是实现上网行为管理的基础,对于每个特定的分组分配不同的上网权限,对各种不同部门、不同业务、不同人员的上网行为管理进行要求,这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以,分组管理和权限策略在路由器中设计为多重搭配组合的模式。
欣向免疫路由分组成员管理
特定应用封锁技术包括静态过滤、协议型封锁二种模式。静态过滤是通过封锁特定应用的网络服务器IP和端口,达到应用无法连接到服务器的目的,实现行为封锁的一种方式。这种功能其实在路由器中早就存在,它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来,预制进产品中,通过一个在界面上的名字表达这个功能。这样做法就是方便了用户,不必让用户自己去查找要封锁项目的相关信息,再一条一条地在路由器上配置保存,这大大提高了产品的易用性。
而协议型封锁是通过对要封锁的协议进行分析,识别上网行为身份,进行对该协议的拦截,实现行为封锁的一种方式。这是编制在产品的执行程序中的,用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用,它们虽然有相对固定的服务器IP群,但它们的连接方式是靠协议握手,动态地变换IP和端口,甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。从技术实现的角度来看,静态过滤是较容易的手段,而协议型封锁对产品设计的能力要求要高得多。协议型封锁既要吃透应用协议的内部过程,又要在实现的同时照顾路由器的转发效率,照顾多WAN情况下的负载均衡,算法上是比较复杂的。当前的网络设备市场,提供上网行为管理功能的路由器很多,表面上是大家都有上网行为管理功能,但实际上由于技术实现方式的不同,导致了有的上网行为管理功能只是空架子、有漏洞、不实用。
如果使用简单的静态过滤方式,而不是协议型封锁来实现上网行为管理,功能虽然提供了,而效果是不能令人满意的。遗憾的是,很多上网行为管理路由器就是这么做的。
拿大家熟悉的QQ来说,我们登陆QQ时,都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表,然后通过路由器进行这些服务器IP的过滤处理,这样QQ帐号密码认证不了,当然也就实现了拦截QQ的目的。
这种封QQ的方式存在两个问题:
1、当网络中特定应用添加或变更服务器IP时,就会出现行为管理失效,路由器不得不进行软件升级,效果不彻底,应用麻烦。
2、当使用代理服务器进行应用访问的中转时,由于认证和访问信息通过第三方中转,自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP,就是用来破解此种行为管理的,QQ聊天软件也提供了绕过此种封锁的代理服务器设置(如图),区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分,所以静态过滤的方式对行为管理是不彻底的,无效的。
QQ代理服务器设置
而协议型封锁方式由于直接分析网络数据协议,所以无论如何设置代理都能直接识别封锁,效果彻底,然而此种行为管理方式需要的技术较高,路由器中很少使用。而已知的,欣向免疫墙路由器就是采用了协议分析的上网行为管理手段,这是很难得的。它采用了全新的应用层协议分析,根据不同应用的协议特征,对特定上网行为进行分析确认。由于采用了协议分析,行为管理真正做到了准确无误。基于协议的上网行为管理功能的实现,对路由器设计有较高的要求。尤其是多WAN环境下,不管是静态过滤还是协议封锁,都需要考虑对负载均衡的影响,也就是说,上网行为管理的启用,不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候,把内网IP固定地绑在某一个WAN口上,或者按照IP均衡的方式进行分配,这就失去了多WAN带宽叠加的应用效果。
欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家,欣向一直从事多WAN下的应用协议分析,以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候,欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑,是比较周全的方案,在这个方面无疑是占据了领先的高度。
欣向免疫墙路由器分组上网行为管理
三、上网行为管理的产品选择
由于存在着用户对上网行为管理功能的需求,很多网络设备开始提供这样的功能。不仅仅在路由器,在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子,甚至还有一些专门的上网行为管理设备卖的也很不错。
虽然存在的就是合理的,但对于用户来说,要根据自己的应用需求进行选择,要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划,最后考虑产品的优劣,从而进行正确的选择。
下面提供一些建议供企业朋友们参考。
对上网行为管理要求较高,管理严苛的较大型企业,应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能,也没有过多涉及防火防毒网络安全内容,它的主要功能就是上网行为管理,术业有专攻,它在产品功能上比较丰富,服务支撑比较到位。
至于防火墙、UTM中提供的上网行为管理功能,也是很可取的方案,它适用于一些信息化程度较高的企业,准备或已经部署了相关设备的情况下,启用附带的上网行为管理功能可以节省部署专用设备的资金。
选择宽带路由器中的上网行为管理功能,适用于大多数的中小企业。接入路由器是企业网络的大门,在大门处加一个门岗做上网行为管理,是简单易行的办法。但是,路由器主要的功能是高速数据转发,由于CPU负载能力和成本的限制,路由器功能设计不可能主次颠倒,在上网行为管理上不可能做到很强,所以不要对他抱有太多的期望值,够用好用就可以了。如果单纯因为上网行为管理去选择路由器,很可能会本末倒置。这就两难了。虽然上网行为管理在地位上应该是路由功能的附属,但对于大多数中小企业用户来说,这个功能确实又是需要的。同时企业网络又要解决网络的稳定、可靠、安全的问题,又不能牺牲网络接入的性能,尤其是一些用户还有多WAN带宽汇聚能力的要求。在IT投资不可能太大的情况下,那又该如何选择一台优质的路由器,同时满足多种需求呢? 强烈的建议是:配备带有上网行为管理的免疫墙路由器。
当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用,导致盲目上马上网行为管理设备,实则不然。以上网络应用仅是占用了大量的网络带宽,而企业路由器都有带宽管理功能,如果是因为特定行为访问导致的带宽不足,启用路由器带宽管理后就该没有问题了。但实际情况是,启用了带宽管理以上网络问题还存在,购置了新的上网行为管理设备网络问题还没有解决!
这主要是因为企业网络的免疫安全问题被忽视了!据统计,80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱,黑客能够充分利用协议漏洞对网络系统进行破坏,ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段,对终端进行强制性管理,从而对网络进行整体的管控,使病毒的发作无法窜扰到网络上来,这样才能彻底解决网络问题。网络问题必须网络解决,提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备,欣全向公司基于这样的技术思路,让免疫墙路由器不仅在宽带接入端起到安全管理的作用,也能够深入到整个内网的每一个终端进行控制和保护。同时,在内网中还有一台监控中心,对整个内网的运行进行统计、显示、控制、告警、策略分发等工作,全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网,可以达到普通路由器难以企及的应用效果,在上网的稳定、高速、安全、可管理能力上,远远超过了普通路由的组网方案。
有了网络安全和稳定的运行基础,网络行为管理才能显示其更加细致的应用访问控制优势,才能真正满足中小企业对网络应用的多种需求。没有稳定可靠,上网行为管理就无从谈起,所谓皮之不存毛之焉在。欣向免疫墙路由器 总结
是否部署上网行为管理要依据企业的具体情况。如果企业网络稳定,并且有网络访问行为控制的要求,那么选择合适的上网行为管理设备是必要的。
上网行为管理功能需要采用静态过滤和协议型封锁2种技术方式,单纯依靠静态过滤处理上网行为管理是技术敷衍,功能是不可靠的。但上网行为管理仅限于网络访问权限的控制,是行政管理的辅助手段,并不能解决网络的安全和稳定问题。如果企业存在网络掉线、卡滞、速度慢、不安全、难管理等问题,那就需要带免疫墙功能的路由器,着重解决内网问题。中小企业既要上网行为管理,又要安全稳定可靠的网络,使用带有上网行为管理功能的免疫墙路由器可以一举多得。
点击咨询 